風險漏洞 處處小心

比特幣軟件被曝DoS漏洞

比特幣軟件被曝存在一個嚴重漏洞，該漏洞是一個DoS漏洞，如果漏洞被黑客利用，就有可能去掉節點，最糟糕的情況甚至會導致相當一部分網絡暫時崩潰。修復方案已通過Bitcoin Core 0.16.3發出。

新漏洞允許黑客訪問處于睡眠模式的電腦

F-Secure公司發現了一個新漏洞，幾乎影響每臺電腦。該漏洞可能允許黑客在電腦進入睡眠狀態時訪問加密的硬盤，但攻擊無法遠程執行，需要物理訪問設備。

特斯拉門鎖存在安全漏洞

比利時魯汶大學的研究人員發現一種欺騙特斯拉無鑰匙進入系統的方法。黑客只需與車主擦肩而過、復制其密鑰，數秒鐘時間就能輕松盜竊特斯拉電動汽車。目前防范措施是采用強大的加密技術防止信號被解密。

漏洞

視頻監控出現零日漏洞

Tenable公司的研究人員近日披露了一項涉及安全攝像頭和監控設備的“零日漏洞”，編號為CVE-2018-1149，代號“Peekaboo”。攻擊者可以利用這個漏洞，通過遠程方式在視頻監控系統軟件上執行代碼。

Chrome存在Wi-Fi漏洞

SureCloud公司的研究人員發現谷歌Chrome和Opera瀏覽器存在漏洞，可使Wi-Fi受到攻擊。該漏洞適用于任何基于Chrome內核Chromium的瀏覽器，通過明文HTTP提供管理頁面的任何路由器都會受到此問題的影響。谷歌已修復了該漏洞。

PHP反序列化漏洞或使WordPress遭遠程攻擊

Secarma公司的研究人員在某會議上展示了PHP編程語言的安全漏洞，并指出該漏洞影響了所有接受用戶資料的PHP應用程序和庫，包括WordPress等內容管理系統（CMS），并將允許遠程程序攻擊。

微軟和蘋果瀏覽器漏洞

安全研究人員發現Edge和Safari瀏覽器存在漏洞，惡意者可以利用漏洞發起攻擊，在不改變地址的情況下改變網頁內容。微軟目前已經修復漏洞。

Wireshark被曝嚴重漏洞

思科報告中表示，CVE-2018-16056、CVE-2018-16057和CVE-2018-16058三個漏洞有可能對運行版本2.6.0到2.6.2、2.4.0到 2.4.8和2.2.0到2.2.16Wireshark的用戶造成嚴重干擾。Wireshark團隊承認了該漏洞并進行了修復。

Android API breaking漏洞可致數據泄露

Nightwatch Cyber security公司的專家發現了Android系統中存在的漏洞，能夠讓網絡攻擊者秘密捕獲WiFi廣播數據從而追蹤用戶。

利用Excel文檔執行惡意軟件攻擊

針對近日曝光的Adobe Flash零日漏洞（CVE-2018-5002），已經出現了一款名叫 CHAINSHOT的惡意軟件攻擊。研究人員攻破了其采用的RSA密鑰，揭示出其利用微軟Excel文件包含的微型Shockwave Flash ActiveX對象、以及一個所謂的“電影”的URL鏈接，欺騙人們去下載Flash應用程序。

新蠕蟲具有僵尸網絡等新功能

Palo Alto Networks的Unit 42研究團隊發現一種新的惡意軟件類，能夠針對Linux和Windows服務器，將加密貨幣挖掘，僵尸網絡和勒索軟件功能結合在一個自我擴展的蠕蟲軟件包中。

CoinHive挖礦劫持仍在肆虐

近期研究人員發現了另外3700臺秘密運行惡意的加密貨幣挖礦軟件的路由器。攻擊者對MicroTik路由器實施“零日攻擊”。

MaaS僵尸網絡Black Rose Lucy

Check Point公司研究人員截獲了一個新的MaaS僵尸網絡Black Rose Lucy，惡意軟件利用Android的可訪問性服務來安裝其有效負載。受害者一旦啟用服務，惡意軟件就會獲得管理員權限。

MageCart組織進行供應鏈攻擊

網絡犯罪組織MageCart最近十分活躍，入侵了云服務公司Feedify竊取個人信息和支付卡數據。MageCart黑客可能已經入侵Feedify服務器近一個月。

Click2Gov服務器中存在惡意軟件

FireEye研究人員發現黑客入侵了Click2Gov服務器并植入了竊取信用卡詳細信息的惡意軟件。攻擊者可能利用了Oracle漏洞，這些漏洞提供任意文件的上傳功能或實現遠程訪問，并上傳了一個公開可用的JSP webshell SJavaWebManage的變體，以維護Web服務器上的持久性。

“毒云藤”APT組織網絡間諜活動

360追日團隊發現毒云藤組織對中國重點單位和部門進行的網絡間諜活動，其在初始攻擊環節主要采用魚叉式釣魚郵件攻擊，并對目標進行精心分析，構造誘餌文件和郵件。

以上信息分別來源于“HackerNews”、“安全客”、“安全加”、“安天”